Северокорейские хакеры похитили крипты более чем на $6 млрд
L o a d i n g
Главная > Новости > Безопасность

Северокорейские хакеры похитили крипты более чем на $6 млрд

Северокорейские хакеры похитили крипты более чем на $6 млрд

За первые четыре месяца 2026 года связанные с КНДР хакерские группировки украли с криптоплатформ около $577 млн в дополнение к ранее накопленному объёму, доведя суммарный ущерб от своих операций до отметки выше $6 млрд. Цифры, опубликованные аналитической компанией TRM Labs, отражают только инциденты, которые удалось достоверно атрибутировать — реальный масштаб, по оценке экспертов, заметно больше.


Что подсчитала TRM Labs


TRM Labs — одна из ведущих компаний в сфере блокчейн-аналитики и расследований — представила обновлённую статистику по криптопохищениям, связанным с Северной Кореей. Ключевая оговорка аналитиков: в подсчёт включены лишь те эпизоды, которые удалось уверенно атрибутировать к северокорейским группировкам. Это означает, что реальные потери индустрии от КНДР-хакеров, скорее всего, ещё выше — часть атак остаётся «неподписанной» из-за продвинутых техник сокрытия следов.


Тем не менее даже подтверждённый объём впечатляет: только за январь–апрель 2026 года КНДР-группировки прибавили к своему «портфелю» около $577 млн, а суммарная сумма похищенных за все годы активов превысила $6 млрд. Для сравнения: это сопоставимо с годовым бюджетом крупного европейского государственного агентства.


Эпизод первый: атака на Drift


Самым громким инцидентом начала года стала атака 1 апреля на протокол Drift. Сумма ущерба — свыше $270 млн. Любопытно не столько число, сколько хронология операции, которую раскрыли специалисты по безопасности:


  • несколько месяцев до атаки — этап социальной инженерии: подготовка контактов, втирание в доверие, изучение внутренних процессов;
  • три недели — непосредственная техническая подготовка к взлому;
  • 12 минут — собственно вывод средств со счетов протокола.

Это типичный почерк северокорейских группировок (Lazarus Group и связанных с ней структур): месяцы скрытой подготовки и считанные минуты активной фазы. Защититься от такой схемы стандартными средствами кибербезопасности крайне сложно — атака разворачивается слишком медленно, чтобы её распознать на ранних этапах, и слишком быстро, чтобы среагировать в момент кражи.


Эпизод второй: Kelp DAO и брешь в LayerZero


Спустя чуть больше двух недель — 18 апреля — последовал ещё более крупный взлом. Жертвой стала Kelp DAO, ущерб оценивается в около $292 млн. На этот раз злоумышленники воспользовались уязвимостью в архитектуре кросс-чейн-моста LayerZero — одного из ключевых инфраструктурных решений в DeFi-сегменте.


Дальнейшие события показывают, что у крипторынка появляются всё более работоспособные механизмы реагирования:


  • часть похищенного злоумышленники начали отмывать через протокол THORChain;
  • совет безопасности Arbitrum успел заморозить около $75 млн в криптоактивах на связанных с атакой адресах;
  • атрибуция к северокорейским структурам была произведена в течение нескольких дней.

Это уже не история «украли — растворились в темноте». Заморозка четверти суммы за короткий срок — реальный прецедент того, как децентрализованная инфраструктура учится защищаться, не теряя при этом децентрализованной природы.


Главная проблема индустрии: THORChain как «прачечная» КНДР


В TRM Labs прямо называют THORChain ключевым звеном в отмывании похищенных Северной Кореей средств. Протокол обработал заметную часть доходов как от свежих атак 2026 года, так и от более ранних эпизодов — в том числе от взлома Bybit в 2025 году, который остаётся одним из крупнейших крипто-хищений в истории.


Механика проста и потому особенно неприятна для расследователей:


  • THORChain позволяет совершать кросс-чейн-обмены без KYC и без централизованного оператора;
  • это делает сервис идеальным для конвертации «горячих» токенов в более ликвидные активы — биткоин и эфир;
  • сами активы после обмена попадают в адреса, не связанные напрямую со взломом, и дальнейшее отслеживание становится сложнее на порядок.

В сумме речь идёт о сотнях миллионов долларов, конвертированных в пользу КНДР именно через этот протокол. Для криптоиндустрии это болезненный кейс: ликвидность и приватность, которые в DeFi считаются достоинствами, в данном контексте превращаются в инфраструктуру для государственных хакеров.


Не только взломы: КНДР внутри проектов


Эксперт по безопасности MetaMask Тейлор Монахан ранее обращала внимание на ещё одну сторону северокорейской активности — систематическое внедрение специалистов из КНДР в команды криптокомпаний и DeFi-проектов. По её данным, эта практика длится не менее семи лет, и многие такие «сотрудники» приходят в проекты с заранее поставленной задачей: дождаться удобного момента и вывести средства изнутри.


Это объясняет, почему сценарий с долгой социальной инженерией перед атакой на Drift выглядит так буднично. Часть взломов начинается не с кода, а с найма — приглашённый «разработчик» месяцами получает доступ к репозиториям, ключам и внутренним процессам, а затем либо сам организует утечку, либо передаёт нужную информацию внешней группировке.


Для индустрии это означает простую и неудобную вещь: стандартные процедуры найма в крипте больше не справляются с угрозой. Удалённая работа, псевдонимы, оплата в крипте — всё то, что делает индустрию глобальной и быстрой, одновременно делает её уязвимой для государственных операций под прикрытием.


Зачем КНДР столько криптовалюты


Понимание масштаба становится полнее, если вспомнить общий контекст. Северная Корея находится под одним из самых жёстких санкционных режимов в мире — её доступ к традиционной долларовой инфраструктуре резко ограничен. Криптовалюты в этой логике решают сразу несколько задач:


  • финансирование оружейных программ — по данным ООН, значительная часть похищенных КНДР криптоактивов направляется на программу баллистических ракет;
  • обход санкций в международных расчётах;
  • пополнение валютных резервов, доступ к которым закрыт через банковскую систему.

В этом смысле криптоиндустрия для КНДР — не просто «лёгкая мишень», а стратегический канал. И именно поэтому уровень подготовки атак такой высокий: за каждым взломом стоит не группа энтузиастов, а государственная структура с многолетним финансированием и кадровым резервом.


Что меняется в защите рынка


Несмотря на регулярные миллиардные потери, индустрия постепенно учится отвечать. Несколько свежих признаков перемен:


  1. Скорость атрибуции — связь атак с КНДР теперь устанавливается не за месяцы, а за дни.
  2. Заморозка части средств — кейс Arbitrum с $75 млн показал, что децентрализация не равна беспомощности.
  3. Совместная работа с биржами — крупные централизованные площадки всё активнее реагируют на запросы о блокировке адресов, связанных с расследуемыми кражами.
  4. Внимание к найму — после публикаций Монахан и аналогичных расследований проекты начинают усиливать процедуры верификации сотрудников, особенно с доступом к ключам и инфраструктуре.
  5. Аудит мостов — после Kelp DAO акцент в безопасности смещается с самих протоколов на кросс-чейн-инфраструктуру, которая остаётся самым уязвимым звеном DeFi.

Выводы


Цифра в $6 млрд — не просто статистика. Это сумма, которая де-факто делает северокорейские хакерские группировки одним из крупнейших нерегулируемых «инвестфондов» в крипте. И пока инфраструктура индустрии содержит уязвимости в мостах, KYC-обходные пути в DeFi и слабые процедуры найма, поток будет продолжаться.


Главный вопрос ближайших месяцев — сможет ли индустрия и регуляторы выстроить такие механизмы координации, при которых прецедент с заморозкой $75 млн на Arbitrum станет нормой, а не исключением. Если да — у КНДР останется всё меньше способов превращать украденные миллиарды в реальные ракеты. Если нет — следующая громкая цифра в отчётах TRM Labs появится уже к лету.

  • Дата: 02.05.2026
  • Тема
    • Безопасность